Закрыты множественные уязвимости в плагине Orbit Fox от ThemeIsle
19 ноября 2020 года наша команда Wordfence раскрыла две уязвимости в Orbit Fox от ThemeIsle, плагина WordPress, используемого более чем 400 000 сайтов.
Один из этих недостатков позволил злоумышленникам с доступом уровня участника или выше повысить свои привилегии до привилегий администратора и потенциально захватить сайт WordPress.
Другой недостаток позволял злоумышленникам с доступом на уровне участника или автора внедрять потенциально вредоносный код JavaScript в сообщения.
Эти типы вредоносных сценариев могут использоваться для перенаправления посетителей на сайты с вредоносной рекламой или создания новых административных пользователей, а также для многих других действий.
Первоначально мы обратились к разработчику плагина 19 ноября 2020 года. После установления соответствующего канала связи мы предоставили полную информацию о раскрытии информации 24 ноября 2020 года.
После нескольких последующих действий разработчик плагина выпустил исправленную версию Orbit Fox от ThemeIsle в версии 2.10.3, 17 декабря 2020 г.